Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CONTROL
INTERNO
compras
tesorería
ventas
CONTABILIDAD
bienes créditos
personal obligaciones
El sistema de control interno se desarrolla dentro de cualquier ente para que se pueda
prevenir, detectar, corregir falencias o ineficiencias que pueden afectar a los diferentes
sistemas administrativos y operativos del ente.
El control interno evalúa los riesgos para propiciar medidas. El control interno es ejercido por
cada proceso que se lleva a cabo.
Dentro del control interno hay un método, un modo de control denominado auditoría que
puede o no existir dentro del control interno, pero que resulta conveniente que exista porque
la auditoría es un servicio de aseguramiento que redunda en el fortalecimiento del control
interno porque se ocupa de evaluar el funcionamiento del control interno.
1
AUDITORÍA Y CONTROL INTERNO
CONTROL
Hay que tener un parámetro (previsiones), una referencia para control lo que es con lo que
debería ser.
Ej. las compras cumplen con el procedimiento de compras, los EECC cumplen con las normas
profesionales.
TIPOS DE CONTROL
Según el sujeto que lo realiza:
Interno: se da dentro del ente por un sector que se encuentra desligado de lo que
audita.
Externo: auditor externo: ej. un contador que audita EECC para terceros. No pertenece
al ente que audita
Según el alcance:
Unidades a analizar:
Universal Selectivo Aspectos a analizar:
2
AUDITORÍA Y CONTROL INTERNO
Integral
Parcial
3
AUDITORÍA Y CONTROL INTERNO
AMBIENTE DE CONTROL:
El ambiente de control refleja el espíritu ético vigente en una organización respecto del
comportamiento de la alta dirección y los demás agentes, la responsabilidad con que encaran
sus actividades y la importancia que le asignan al control interno. Incide en la administración y
la gestión, el establecimiento de objetivos, la evaluación de riesgos, las actividades de
control, los sistemas de información y comunicación y la supervisión.
Es el primer requisito a tener en cuenta en un sistema de Control Interno, pues constituye el
marco sin el cual no es posible el desarrollo integral del mismo.
Sirve de base de los otros componentes, ya que es dentro del ambiente de control reinante
que se evalúan los riesgos y se definen las actividades de control tendientes a neutralizarlos.
Simultáneamente se capta la información relevante y se realizan las comunicaciones
pertinentes, dentro de un proceso supervisado (monitoreado) y corregido de acuerdo con las
circunstancias.
Debe estar convenientemente formalizado a través de reglas, códigos, instructivos y directivas
de la Conducción Superior, ampliamente difundidos para que todos los miembros de la
organización los conozcan, comprendan su importancia, los apliquen, y apoyen su
cumplimiento en toda la organización.
Depende en cada organización de la:
1- Filosofía y estilo de la dirección y la gerencia, integridad, valores éticos, ambiente de
confianza mutua, transparencia de la gestión.
4
AUDITORÍA Y CONTROL INTERNO
Para el control interno, como parte del proceso de gestión, es esencial que la misma se lleve a
cabo con personas cuyo nivel de competencia profesional se ajuste a sus responsabilidades, y
comprendan suficientemente la importancia, objetivos y procedimientos del sistema de
control.
EVALUACIÓN DE RIESGOS:
Los riesgos ponen en peligro el logro de los objetivos organizacionales en el ente:
¿Se identifican los riesgos internos y externos?
¿Se evalúa la probabilidad de ocurrencia y el impacto de cada riesgo?
¿Se estudian actividades de control (preventivas, detectivas y correctivas) para administrar los
riesgos?
Todas las entidades, independientemente de su tamaño, estructura, naturaleza o sector al que
pertenezcan, se encuentran expuestas a riesgos en sus diferentes niveles. El riesgo es
inherente a todas las actividades, y el control interno es esencial para limitarlo. A través de la
investigación y análisis de los riesgos relevantes, y el punto hasta el cual el control vigente los
previene y neutraliza, se evalúa la vulnerabilidad del sistema. El enfoque es eminentemente
preventivo.
Se deben identificar los riesgos relevantes que enfrenta un organismo en la persecución de sus
objetivos, ya sean de origen interno o externo.
Se debe estimar la frecuencia con que se presentarán los riesgos identificados, así como
también se debe cuantificar la probable pérdida que ellos pueden ocasionar.
Luego de identificar, estimar y cuantificar los riesgos, la dirección superior y las gerencias
deben determinar los objetivos específicos y, con relación a ellos, establecer los
procedimientos de control más convenientes.
Una vez identificados y estimados los niveles de riesgo, deben adoptarse las medidas para
enfrentarlo de la manera más eficaz y económica posible. Para ello se deben establecer los
5
AUDITORÍA Y CONTROL INTERNO
objetivos específicos de control, que estarán adecuadamente articulados con los objetivos
globales y sectoriales.
ACTIVIDADES DE CONTROL
Se implementan en el ente por ejemplo con:
• Separación de Tareas y Responsabilidades: Las tareas y responsabilidades esenciales,
relativas al tratamiento, autorización, registro y revisión de las transacciones y hechos,
deben ser asignadas a personas diferentes. Al evitar que los aspectos fundamentales
de una transacción u operación queden concentrados en una misma persona o sector,
se reduce notoriamente el riesgo de errores, despilfarros o actos ilícitos, y aumenta la
probabilidad que, de producirse, sean detectados.
• Niveles adecuados de autorización: Los actos y transacciones relevantes sólo pueden
ser autorizados y ejecutados por funcionarios y empleados que actúen dentro del
ámbito de sus competencias.
• Rotación de personal en áreas de riesgo: Ningún empleado debe tener a su cargo,
durante un tiempo prolongado, las tareas que presenten una mayor probabilidad de
comisión de irregularidades. Los empleados a cargo de dichas tareas deben,
periódicamente, abocarse a otras funciones.
• Documentación respaldatoria de operaciones: La estructura de control interno y
todas las transacciones y hechos significativos, deben estar claramente documentados,
y la documentación debe estar disponible para su verificación. Todo organismo debe
contar con la documentación referente a su Sistema de Control Interno y a los
aspectos pertinentes de las transacciones y hechos significativos. La información sobre
el Sistema de Control Interno puede figurar en su formulación de políticas, y
básicamente en el respectivo manual. Incluirá datos sobre objetivos, estructura y
procedimientos de control. La documentación sobre transacciones y hechos
significativos debe ser completa y exacta y posibilitar su seguimiento para la
verificación por parte de directivos o fiscalizadores.
• Acceso restringido a los recursos, activos y registros: El acceso a los recursos, activos,
registros y comprobantes, debe estar protegido por mecanismos de seguridad y
limitado a las personas autorizadas, quienes están obligadas a rendir cuenta de su
custodia y utilización. Todo activo de valor debe ser asignado a un responsable de su
custodia y contar con adecuadas protecciones, a través de seguros, almacenaje,
sistemas de alarma, pases para acceso, etc. Además, deben estar debidamente
registrados y periódicamente se cotejarán las existencias físicas con los registros
contables para verificar su coincidencia. La frecuencia de la comparación, depende del
nivel de vulnerabilidad del activo. Estos mecanismos de protección cuestan tiempo y
dinero, por lo que en la determinación de nivel de seguridad pretendido deberán
ponderarse los riesgos emergentes entre otros del robo, despilfarro, mal uso,
destrucción, contra los costos del control a incurrir.
• Registro oportuno y adecuado de las transacciones y hechos: Las transacciones y los
hechos verificados en un organismo deben registrarse inmediatamente y ser
debidamente clasificados. La registración oportuna permite la disponibilidad y utilidad
inmediata de la información relativa a las transacciones o hechos relevantes, y al
mismo tiempo garantiza que no se omitan o tergiversen los datos por errores o
manipulaciones posteriores. La clasificación adecuada facilita la presentación de
6
AUDITORÍA Y CONTROL INTERNO
INFORMACIÓN Y COMUNICACIÓN
Dentro de la empresa y con terceros (clientes y proveedores)
El sistema de información financiera y de gestión es actualizado, suficiente, oportuno, válido,
verificable, protegido y conservable.
El sistema de comunicación interna es oportuno y fehaciente entre las distintas áreas y
personas.
El sistema de comunicación externa es oportuno y fehaciente con proveedores y clientes.
La información debe permitir a los funcionarios y empleados cumplir sus obligaciones y
responsabilidades. Los datos pertinentes deben ser identificados, captados, registrados,
estructurados en informes y comunicados en tiempo y forma adecuados.
La información debe ser clara y con un grado de detalle ajustado al nivel decisional. Se debe
referir tanto a situaciones externas como internas, a cuestiones financieras como
operacionales.
Características de la información.
a. Integridad. La información deberá resultar toda la que corresponda y sea propia de
los hechos a informar.
b. Oportunidad. Encontrarse disponible en todo momento y sobre todo cuando deben
adoptarse decisiones.
c. Actualidad. La información debe referirse al presente y en lo posible contener proyección a
futuro. La representativa del pasado se incluirá cuando constituya un antecedente reciente
y esté asociada a un tema presente.
d. Exactitud. Debe representar con la mayor aproximación posible la realidad que trata de
reflejar.
e. Accesibilidad. Deberá estar disponible para todos los interesados, con las limitaciones que
la confidencialidad u otras restricciones impongan.
f. Certidumbre. Debe brindar conocimiento seguro, claro y evidente de las cosas.
g. Racionalidad. Debe ser razonable frente al hecho a informar.
h. Objetividad. Debe excluir todo juicio de valor.
7
AUDITORÍA Y CONTROL INTERNO
Los informes deben transmitirse adecuadamente a través de una comunicación eficaz. Esto es,
en el más amplio sentido, incluyendo una circulación multidireccional de la información. La
existencia de líneas abiertas de comunicación, y una clara voluntad de escuchar resultan
vitales.
SUPERVISIÓN Y MONITOREO
Se practica o existe en el ente:
Autoevaluación
Auditoría interna
Comité de Auditoría
Sistema de calidad
AUDITORÍA
Es un proceso sistemático y objetivo, generalmente selectivo, de obtención y evaluación de
evidencias con el propósito de determinar si la información o las condiciones reales bajo
examen se ajustan a los criterios establecidos o construidos para casos específicos, como así
también analizar las causas y consecuencias de estas situaciones.
Hay pasos, etapas que se deben cumplir.
La auditoría es imparcial, neutral, independiente, objetiva.
La auditoría trabaja generalmente por muestreo.
PRINCIPIOS DE AUDITORÍA
Principios generales:
- Los auditores deben cumplir con los requisitos éticos relevantes y ser independientes
- Los auditores deben mantener una conducta profesional apropiada mediante la
aplicación del escepticismo profesional, juicio profesional y la diligencia debida
durante toda la auditoría.
- Los auditores deben realizar la auditoría de acuerdo con las normas profesionales
sobre control de calidad
- Los auditores deben poseer o tener acceso a las habilidades necesarias.
- Los auditores deben gestionar el riesgo de proporcionar un informe que sea
inapropiado bajo las circunstancias de la auditoría.
- Los auditores deben presentar la documentación de auditoría con el suficiente detalle
para proporcionar una comprensión clara del trabajo realizado, de la relevancia
obtenida y de las conclusiones alcanzadas.
- Los auditores deben una comunicación eficaz durante todo el proceso de la auditoría
Los papeles de trabajo limitan la responsabilidad del auditor, ordenan el trabajo del auditor.
ETAPAS DE AUDITORÍA
8
AUDITORÍA Y CONTROL INTERNO
Se debe conocer lo que se audita y donde se audita, se debe determinar el perfil del
auditado y definir cómo se va a auditar.
Los hallazgos son cuestiones que llaman la atención del auditor, son desvíos, falencias.
Se busca las causas y consecuencias de los desvíos.
TIPOS DE AUDITORÍA
En general:
De cumplimiento: se enfoca en verificar si un asunto cumple o no con la norma de
aplicación.
Financiera: se enfoca en verificar si un estado financiero representa razonablemente la
situación (financiera, económica o patrimonial que representa) en función al marco de
referencia que regula su confección.
De gestión: se enfoca en verificar si un programa, actividad, proceso o ente se
desarrolla con economía, eficiencia y eficacia (efectividad, ética, ecología)
9
AUDITORÍA Y CONTROL INTERNO
aplicación funcionamiento SCI para saber si el interno de cada uno de los procesos del
control interno es confiable, ya que en ente
base a al control interno se realiza la
auditoría externa. Si la auditoría interna
no está bien hecha los EECC van a estar
mal y no reflejar la realidad del ente.
Normas RT 8, 9, 17, 37 normas contables RT 37 y otras normas de referencia que
aplicables profesionales no son de aplicación obligatoria a la
Ley general de sociedades auditoría interna
Dependencia Nunca es dependiente del ente Dependiente: del ente
Siempre independiente Independiente: auditoría interna
terciorizada
Reporta a la superioridad.
AUDITORÍA INTERNA
“La Auditoría Interna practica los análisis, inspecciones, verificaciones y pruebas que considere
necesarios en los distintos sectores de la organización con independencia de éstos, ya que sus
funciones y actividades deben mantenerse desligadas de las operaciones sujetas a su examen.
Así, la Auditoría Interna vigila, en representación de la gerencia, el adecuado funcionamiento
del sistema, informando oportunamente a aquélla sobre su situación”.
“La auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta,
concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una
10
AUDITORÍA Y CONTROL INTERNO
CARACTERÍSTICAS
La auditoría se realiza a posteriori de la ejecución de las operaciones, transacciones o
actividades controladas dentro de un período prefijado de tiempo.
Servicio de aseguramiento para la supervisión y mejora continua del Sistema de
Control Interno del Ente.
Independiente de las operaciones que examina. Los miembros del departamento de
auditoría interna son empleados de la empresa, independientes de cualquier otra
función, actividad, tarea u operación, con la autoridad y responsabilidad de efectuar
las tareas de auditoría interna de cualquier sector o función de la organización.
Depende y reporta directamente a la autoridad superior del Ente. El fin que persigue la
auditoría interna es ayudar a la dirección superior a lograr los objetivos
proporcionándoles información, análisis, evolución, comentarios, sugerencias y
recomendaciones pertenecientes a las transacciones o sectores auditados. La auditoría
interna asesora a la dirección superior.
Sistemática, objetiva, posterior, permanente y selectiva.
Emite informes dando a conocer sus conclusiones y recomendaciones.
La Auditoría Interna no debería: -efectuar operaciones en línea, -llevar los registros, -custodiar
bienes, -ser parte de un proceso, -dar su conformidad previa en una operación, -aprobar o
autorizar comprobantes.
La auditoría interna se practicará por la Unidad correspondiente, que:
Evaluará el grado de cumplimiento y eficacia de los sistemas de administración y de los
instrumentos de control interno incorporados a ellos; determinará la confiabilidad de los
registros y estados financieros; y analizará los resultados y la eficiencia de las operaciones.
No participará en ninguna otra operación ni actividad administrativa, y dependerá de la
máxima autoridad de la entidad, a cuya consideración deberá someter el programa de
auditoría y a la que deberá reportar los resultados de sus evaluaciones.
RESPONSABILIDAD FUNCIONAL
- Examinar o estudiar los controles internos, sobre las transacciones monetarias,
cuentas a cobrar y pagar y valores e ingresos y egresos varios
- Supervisar y evaluar los controles internos para determinar y corregir las excepciones
desconocidas
- Evaluar las medidas de seguridad en toda la organización
- Realizar inventarios o recuento físicos y efectuar los controles necesarios que aseguren
un adecuado resguardo de los bienes físicos.
11
AUDITORÍA Y CONTROL INTERNO
- Controlar los bs físicos y todo el equipo para asegurar que su uso es adecuado, que se
realiza el debido mantenimiento y que se obtiene el mejor beneficio de la inversión de
capital realizada.
- Realizar una revisión de contratos, convenios o acuerdos, celebrados por la
organización, para verificar que los mismos no perjudican a la empresa
- Supervisar los procesos y procedimientos de la empresa para determinar si los
resultados que producen son los adecuados
- Como consecuencia del trabajo, se debe emitir un informe que sea objetivo, conciso y
oportuno, que suministre a la dirección superior una información rápida y segura.
El auditor interno debe ser amistoso y con un gran sentido de cooperación, por lo tanto, debe
escuchar atentamente y ser comprensivo.
El auditor debe estar actualizad y debe diferenciar los temas importantes de otros de menor
relevancia
12
AUDITORÍA Y CONTROL INTERNO
Para que estas normas tengan plena vigencia deben ser conocidas y respaldadas por todas
aquellas personas que trabajen en el campo de la auditoría interna.
INSTITUTO DE AUDITORES INTERNOS (IIA)-The Institute of Internal Auditors
Establecido en 1941, el Instituto de Auditores Internos (IIA) es una asociación profesional con
sede central en Altamonte Springs, Florida, Estados Unidos. El IIA es la voz de la profesión de
auditoría interna, autoridad líder a nivel mundial de reconocida trayectoria y principal
educador. Generalmente, sus miembros trabajan en auditoría interna, manejo de riesgo,
gobernanza, control interno, auditoría en tecnología de la información, educación y seguridad.
Globalmente, el IIA actualmente tiene más de 200.000 miembros.
NORMAS DE AUDITORÍA
Son el conjunto de requisitos basados en principios, de cumplimiento obligatorio, que consiste
en:
• Declaraciones de requisitos esenciales para el ejercicio de la auditoría interna y para
evaluar la eficacia de su desempeño, que son internacionalmente aplicables a nivel de
las personas y de las organizaciones.
• Interpretaciones que aclaran términos o conceptos dentro de las Normas –Glosario.
• El Instituto crea en 1974 el Comité de Normas y Responsabilidades, que luego de tres
años de trabajo presenta las “Normas para la Práctica Profesional de la Auditoría
Interna”. El cumplimiento de las Normas Internacionales para el Ejercicio Profesional
de la Auditoría Interna es esencial para el ejercicio de las responsabilidades de los
auditores internos.
14
AUDITORÍA Y CONTROL INTERNO
La objetividad es una actitud mental neutral que permite a los auditores internos
desempeñar su trabajo con honesta confianza en el producto de su labor y sin comprometer su
calidad. La objetividad requiere que los auditores internos no subordinen
su juicio sobre asuntos de auditoría a otras personas.
Aptitud y cuidado profesional
Los trabajos deben cumplirse con aptitud y cuidado profesional adecuados.
Aptitud
Los auditores internos deben reunir los conocimientos, las aptitudes y otras competencias
necesarias para cumplir con sus responsabilidades individuales. La actividad de
auditoría interna, colectivamente, debe reunir u obtener los conocimientos, las aptitudes y
otras competencias necesarias para cumplir con sus responsabilidades.
El director de auditoría interna debe obtener asesoramiento y asistencia
competentes en caso de que los auditores internos carezcan de los conocimientos, las
aptitudes u otras competencias necesarias para llevar a cabo la totalidad o parte del
trabajo.
Cuidado profesional
Los auditores internos deben cumplir su trabajo con el cuidado y la aptitud que se
esperan de un auditor interno razonablemente prudente y competente.
Desarrollo profesional continuo
Los auditores internos deben perfeccionar sus conocimientos, aptitudes y otras competencias
mediante la capacitación profesional continua.
15
AUDITORÍA Y CONTROL INTERNO
Comunicación y aprobación
El director de auditoría interna debe comunicar los planes y requerimientos de recursos
de la actividad de auditoría interna, incluyendo los cambios provisionales significativos,
a la alta dirección y al Consejo para la adecuada revisión y aprobación. El director de
auditoría interna también debe comunicar el impacto de cualquier limitación de recursos.
Administración de recursos
El director de auditoría interna debe asegurar que los recursos de auditoría interna sean
apropiados, suficientes y eficazmente asignados para cumplir con el plan aprobado.
Apropiados se refiere a la mezcla de conocimientos, aptitudes y otras competencias
necesarias para llevar a cabo el plan. Suficientes se refiere a la cantidad de recursos
necesarios para cumplir con el plan. Los recursos están eficazmente asignados cuando se
utilizan de forma tal que optimizan el cumplimiento del plan aprobado.
Políticas y procedimientos
El director de auditoría interna debe establecer políticas y procedimientos para guiar la
actividad de auditoría interna.
Naturaleza del trabajo
La actividad de auditoría interna debe evaluar y contribuir a la mejora de los procesos de
gobierno, gestión de riesgos y control, utilizando un enfoque sistemático y disciplinado.
Planificación del trabajo
Los auditores internos deben elaborar y documentar un plan para cada trabajo, que
incluya su alcance, objetivos, tiempo y asignación de recursos.
Objetivos del trabajo
Deben establecerse objetivos para cada trabajo.
Los auditores internos deben realizar una evaluación preliminar de los riesgos relevantes para
la actividad bajo revisión. Los objetivos del trabajo deben reflejar los resultados de esta
evaluación.
El auditor interno debe considerar la probabilidad de errores, fraude, incumplimientos y otras
exposiciones significativas al elaborar los objetivos del trabajo.
Alcance del trabajo
El alcance establecido debe ser suficiente para satisfacer los objetivos del trabajo.
El alcance del trabajo debe tener en cuenta los sistemas, registros, personal y bienes
relevantes, incluso aquellos bajo el control de terceros.
Asignación de recursos para el trabajo
Los auditores internos deben determinar los recursos adecuados y suficientes para logra
los objetivos del trabajo, basándose en una evaluación de la naturaleza y complejidad de
cada trabajo, las restricciones de tiempo y los recursos disponibles.
16
AUDITORÍA Y CONTROL INTERNO
Las Normas, junto con el Código de Ética, forman parte de los elementos de cumplimiento
obligatorio del Marco Internacional para la Práctica Profesional (MIPP), y es esencial para el
ejercicio de las responsabilidades de los auditores internos y la actividad de auditoría interna.
CÓDIGO DE ÉTICA
El propósito del Código de Ética de la profesión es promover una cultura ética en la Auditoría
Interna. Es necesario y apropiado contar con un código de ética para la profesión de Auditoría
Interna, ya que ésta se basa en la confianza que se imparte a su aseguramiento objetivo sobre
la gestión de riesgos, control y dirección.
El Código de Ética abarca mucho más que la definición de Auditoría Interna, llegando a incluir
dos componentes esenciales:
PRINCIPIOS que son relevantes para la profesión y práctica de la Auditoría Interna.
REGLAS DE CONDUCTA que describen las normas de comportamiento que se espera sean
observadas por los auditores internos. Estas reglas son una ayuda para interpretar los
Principios en aplicaciones prácticas. Su intención es guiar la conducta ética de los auditores
internos.
Aplicación y Cumplimiento: El código de ética se aplica tanto a las personas como a las
entidades que proveen servicios de auditoría interna.
Los auditores internos exhiben el más alto nivel de objetividad profesional al reunir, evaluar y
comunicar información sobre la actividad o proceso a ser examinado. Auditores internos hacen
una evaluación equilibrada de todas las circunstancias relevantes y forman sus juicios sin
dejarse influir indebidamente por sus propios intereses o por otras personas.
• Confidencialidad
17
AUDITORÍA Y CONTROL INTERNO
Objetividad
Confidencialidad
Los auditores internos:
- Serán prudentes en el uso y protección de la información adquirida en el transcurso de
su trabajo.
- No utilizarán información para lucro personal o de alguna manera que fuera contraria
a la ley o en detrimento de los objetivos legítimos y éticos de la organización.
Competencia
Los auditores internos:
- Participarán sólo en aquellos servicios para los cuales tengan los suficientes
conocimientos, aptitudes y experiencia.
- Desempeñarán todos los servicios de auditoría interna de acuerdo con las Normas
para la Práctica Profesional de Auditoría Interna.
- Mejorarán continuamente sus aptitudes y la efectividad y calidad de sus servicios.
18
AUDITORÍA Y CONTROL INTERNO
El Instituto está dirigido por una Comisión Directiva, integrada por voluntarios y
elegida cada dos años por la Asamblea de Asociados. Además, cuenta con una estructura
administrativa rentada, conducida por un Director Ejecutivo designado por la Comisión
Directiva. Los recursos financieros del Instituto provienen de las cuotas abonadas por los
socios, y de los ingresos por la organización de seminarios y otros encuentros
profesionales
Este cuadro normativo fue revisado y enfocado desde otro ángulo, por la Tercera
Convención Nacional de Auditores Internos, celebrada en Buenos Aires en noviembre dé
1982. Por la importancia de este nuevo enfoque, las normas se denominan “Normas de
Auditoria Interna”
19
AUDITORÍA Y CONTROL INTERNO
OBJETIVOS Y ALCANCES
La auditoría interna es una función independiente establecida dentro de la organización para
examinar y evaluar sus actividades como un ss a la organización. El objetivo de la auditoría
interna es asistir a los miembros de la organización en el cumplimiento efectivo de sus
responsabilidades. Con esta finalidad la auditoría interna proporciona análisis, evaluaciones,
recomendaciones, consejo e información sobre las actividades revisadas. Los miembros de la
organización asistidos por la auditoría interna son tanto la dirección como el consejo de
administración.
Como el departamento de auditoría interna no cumple funciones de línea, entonces es un
órgano de staff, por lo tanto, es consultado por los demás sectores de la organización cuando
estos necesitan colaboración para resolver problemas propios del sector o cuando es necesario
la opinión de alguien externo para aquellos conflictos o problemas propios de la interacción de
varios sectores.
20
AUDITORÍA Y CONTROL INTERNO
RESPONSABILIDAD Y AUTORIDAD
El departamento de auditoría interna es una parte integral de la organización y funciona
sometido a las políticas establecidas por la alta dirección y el consejo.
21
AUDITORÍA Y CONTROL INTERNO
De la responsabilidad se desprende la autoridad que debe tener para ejercer libremente sus
funciones, es decir, no es una autoridad funcional o de línea, sino que es una autoridad de
gestión; facultad que debe tener para cumplir con la responsabilidad que le fue asignada.
22
AUDITORÍA Y CONTROL INTERNO
INDEPENDENCIA
La independencia es esencial para la efectividad de la auditoría interna. Esta independencia se
obtiene principalmente mediante su posición en la organización y su objetividad. La opinión
del auditor debe provenir de razonamientos autónomos, sin dejarse doblegar por respetos,
halagos ni amenazas
Posición: el jefe de auditoría interna deberá ser responsable ante un funcionario cuya
autoridad sea suficiente como para asegurar un amplio alcance de actuación para la auditoría y
la consideración adecuada de una acción eficaz ante los hallazgos y recomendaciones de
auditoría.
Objetividad: objetivo, claro y puro en el desarrollo del pensamiento para que la conclusión no
esté afectada por premisas subjetivas que perjudiquen o favorezcan a individuos o sectores de
la empresa.
23
AUDITORÍA Y CONTROL INTERNO
4.1. la materia objeto de análisis es adecuada, para lo cual debe reunir las
siguientes características:
24
AUDITORÍA Y CONTROL INTERNO
DE INFORME
Cuando el contador debe elaborar el informe
DIRECTO
Se dice que nada llama la atención del auditor para considerar que
el informe no cumple con los procedimientos establecidos.
ENCARGOS Ej. evaluar si las últimas compras cumplen con el sistema de
compras
25
AUDITORÍA Y CONTROL INTERNO
PLANIFICACIÓN
Relevamiento del perfil del auditado: consiste en conocer al ente que se va a auditar
(tipo de sociedad, estatuto, organigrama, manuales, personal), conocer el área o
operación que se va a auditar (personal, quienes intervienen, que cargos ocupan, que
información tienen, si tienen acceso a bienes del ente). Consiste en tener un panorama
completo de lo que se va a auditar, conocer sus objetivos, procesos, operaciones,
normas, controles internos y sistemas en funcionamiento pudiendo así determinar las
posibles áreas críticas que pudieran afectar el logro de los objetivos.
Evaluación el SCI de modo general de cada sistema administrativo u operativo (por
cada sistema se evalúa los 5 componentes del MARCO COSO). Se busca determinar el
grado e seguridad de sus operaciones, el cumplimiento normativo, la confiabilidad de
su sistema de información financiera y la protección de los activos.
Identificar, evaluar los riesgos que pudieran implicar deficiencias, desviaciones o
errores, evaluar la probabilidad de ocurrencia y el impacto de los mismos.
Evaluar los riesgos de auditoría de no detección, que hacen a la responsabilidad
propia del equipo de auditoría a su cargo y están referidas a las limitaciones de
recursos, formación y experiencia, que podría afectar negativamente el trabajo
emitiéndose un informe de auditoría inapropiado.
Riesgos inherentes: riesgos que tienen cada uno de los sistemas del ente
Riesgos de control: riesgos que tienen el SCI, cuando este no funciona adecuadamente.
26
AUDITORÍA Y CONTROL INTERNO
formar al auditor una opinión que represente la totalidad del universo. La muestra
debe representar de manera suficiente y apropiada al universo.
Aplicación del procedimiento de auditoría. El auditor lleva a cabo distintos
procedimientos de auditoría (técnicas de auditoría)
Recolección de evidencias. Evidencia es toda información utilizada por el auditor para
determinar si una materia en cuestión cumple o no con los criterios aplicables. Para
que las evidencias sean válidas deben ser: suficientes (en cuanto a cantidad),
pertinentes (con relación a la materia evaluada) y competentes (respecto a la
confianza que brinda al auditor)
Evaluación de evidencias
Elaboración de la matriz de hallazgos. Los hallazgos son hechos que llaman la atención
del auditor por manifestar desviaciones entre las situaciones verificadas y los criterios
utilizados (lo que es no coincide con lo que debería ser – criterio / condición o
situación). Los hallazgos son desvíos. Los hallazgos pueden dar lugar a la formulación
de observaciones y/o recomendaciones para lo que el auditor deberá aplicar su
criterio profesional a fin de discernir el tratamiento a dar a las diferentes
incorrecciones detectadas.
Resulta conveniente la confección de una matriz de hallazgos, donde se considere la
relación entre las situaciones verificadas y los criterios aplicados, como así también, las
causas y consecuencias.
INFORMACIÓN Y SEGUIMIENTO
Confección de informes de auditoría. El producto final del trabajo de auditoría es el
informe del auditor, basado en un plan de trabajo, procedimientos y técnicas de
auditoría aplicadas. Es el producto terminado del proceso de control que contiene el
valor agregado que produce el auditor.
Objetivo: el informe del auditor es un elemento de control independiente que ayuda a
la dirección superior a tomar conocimiento de la realidad de lo que ocurre en la
empresa. Con el informe del auditor los superiores pueden darse cuenta de errores y
deficiencias que hayan sido detectados y tomar decisiones en base a las
recomendaciones de medidas correctivas que el auditor pueda sugerir que contribuye
a mejorar el trabajo operativo de los sectores auditados.
Las recomendaciones son el valor agregado de la auditoría interna, y hacen que la
misma resulte una inversión y no un gasto para la empresa.
Características: el informe del auditor debe ser:
- objetivo: libre de toda injerencia interna o externa, es decir independiente
- pertinente: fundado, conciso y claro.
- oportuno: el tiempo insumido de trabajo debe ser adecuado en relación costo –
beneficio, sirviendo para corregir y tomar medidas correctivas y preventivas a
tiempo. Debe ser hecho en el momento conveniente, es decir: presentado en el
momento justo, ideal o preciso; que el tema que enfoca tenga actualidad, vigencia
para el lector.
Forma: redactado y bien estructurado en cuanto a su contenido. Prolijo en
presentación y diseño; copias legibles, homogeneidad en el tipo de letra.
Contenido: fecha de emisión y confección; período auditado; nombre del área o sector
auditado de la empresa; nombre, apellido y cargo del destinatario del informe y de
quienes reciben copia del mismo; objeto de la auditoría; alcance del trabajo realizado;
27
AUDITORÍA Y CONTROL INTERNO
ETAPAS DE AUDITORÍA
PLANIFICACIÓN
EJECUCIÓN
INFORMACIÓN
Confección de
informes de
auditoría
PLANIFICACIÓN
CONOCIMIENTO DEL
ENTE (PERFIL DEL
AUDITADO) INFORME DE
PLANIFICACIÓN Y
PROGRAMA DE
AUDITORÍA:
- Alcance
PAPELES EVALUACIÓN DE (procedimientos
DE RIESGOS de auditoría,
TRABAJO extensión y
oportunidad)
- Asignación de
personal y tiempos
EVALUACIÓN DEL - Estimación de las
SISTEMA DE técnicas de
CONTROL INTERNO muestreo a utilizar
28
AUDITORÍA Y CONTROL INTERNO
EJECUCIÓN
Reunión de Evidencias
F a s e II Evaluación de Evidencias
Son las
evidencias NO
suficientes y
apropiadas
SI
INFORME
• Título
• Destinatario
• Párrafo introductorio y objetivo de la auditoría
• Alcance (limitaciones en caso de existir)
• Identificación del objeto de auditoría
• Criterios de auditoría
• Responsabilidad del auditado
• Responsabilidad del auditor
• Resultados obtenidos (hallazgos)
• Conclusiones/Dictamen/Opinión
• Recomendaciones
• Párrafo de énfasis (si corresponde)
• Otras cuestiones
• Fecha de emisión del informe
• Firma del auditor actuante
TIPOS DE OPINION
29
AUDITORÍA Y CONTROL INTERNO
¿Existen
incorrecciones
No
(error o fraude)
y limitaciones
al alcance? OPINIÓN LIMPIA (NO
MODIFICADA)
Sí ¿Son No
materia
les? OPINIÓN CON SALVEDADES
No (MODIFICADA)
Sí
OPINIÓN ADVERSA (POR
¿Son INCORRECCIONES)
Sí
generali
zadas? ABSTENCIÓN DE OPINIÓN (POR
LIMITACIONES AL ALCANCE)
30
AUDITORÍA Y CONTROL INTERNO
La función del auditor consiste en examinar las cosas en su particular estado, para asegurarse
que las mismas existen.
El examen físico no aprueba por sí la propiedad o derecho sobre la cosa
Se debe ver:
- Correcta identificación del bien a analizar
- Apreciación de la calidad (interna y externa) del bien observado
- Estudio de la legitimidad, para determinar si el bien sustituye o imita al bien
legítimo.
- Establecer la cantidad mediante el recuento de todos los elementos que
conforman la muestra
- Comparación de la cifra contada con los registros de la empresa
- Estudio de las diferencias que surjan
- Información de los ajustes autorizados
- Justificación de las diferencias
31
AUDITORÍA Y CONTROL INTERNO
El auditor estudia los valores y otros bienes con el objeto de determinad su verdadera
existencia física y así también la documentación que justifica la adquisición de activos.
Es decir que por ejemplo se controla la existencia de un bien con la factura de compra, el saldo
de una cuenta corriente con la factura del deudor; etc.
TÉCNICA: 6.-COMPARACIÓN
Consiste en establecer las diferencias entre las operaciones realizadas y los criterios, normas,
procedimientos y prácticas que se utilizan habitualmente.
Es una técnica de comparación de saldos de cuentas o datos de operaciones con la
información semejante de períodos anteriores o posteriores, para descubrir aparentes
cambios en la información presentada y determinar las causas y razones.
En muchos casos el efecto de la inflación no permite esta comparación, salvo que las cifras
sean presentadas en valores constantes (a una misma fecha de cierre) para poder asegurarse
que la comparación es válida.
TÉCNICA: 7.-CÁLCULO
Se trata de la verificación aritmética de comprobantes, documentos, etc. para evaluar su
corrección y exactitud.
Esta prueba de cálculo permite establecer la exactitud aritmética pero no prueba la calidad de
los elementos que la componen.
Consiste en recalcular las operaciones realizadas por el sector en cuestión para determinar si
las mismas fueron bien hechas.
32
AUDITORÍA Y CONTROL INTERNO
Se complementas:
Inspección (se verifica que coincida la existencia del bien con la documentación)
3 - DELEGACION:
Existe la posibilidad de que los individuos deleguen en otro de menor jerarquía sus
funciones, pero debe quedar claro que la responsabilidad sobre esa función no puede ser
delegada.
4 - AUTORIDAD:
Cuando a un individuo se le asigna una función acompañada de la correlativa
responsabilidad, se le debe dar la autoridad necesaria o justa para que pueda ejercer
debidamente esa función.
5 - OPERACION
Ningún individuo dentro de una organización debe ser el responsable de una transacción
desde que esta se “inicia” hasta que “finaliza”. Ya que si así fuera, en el caso de existir
errores, estos son difíciles de detectar, lo que a su vez posibilita que se cometan dolos o
fraudes.
33
AUDITORÍA Y CONTROL INTERNO
6 - PERSONAL:
El factor humano es fundamental en cualquier tipo de ente, y, por lo tanto, su selección,
entrenamiento y capacitación tienen mucha importancia, ya que ellos son los que ponen en
movimiento y desarrollan las empresas. Para tener individuos idóneos para las funciones
que deben ejercer y la responsabilidad de cada cargo, deben ser elegidos teniendo en
cuenta sus características personales y técnicas (ya fuera que estas provengan de estudios
realizados o de la experiencia adquirida).
7 - AUTOCONTROL:
Todo procedimiento, sistema, norma o instrucción, en el momento de su creación, debe
prever controles propios o automáticos, que permitan detectar errores de procedimiento y
que generen su corrección en forma inmediata. Este tipo de controles es denominado de
diseño, pues permite la auto verificación de la información que procesa.
8– CONTROL SELECTIVO:
Toda organización debe poseer, dentro de su estructura, individuos que efectúen controles
por excepción o controles no rutinarios, los cuales se apliquen en forma periódica y de
manera sorpresiva y que, a su vez, evalúen si los controles existentes actúan de la manera
tal como fueron creados.
9- FUNCIONES ROTATIVAS:
La dotación humana debe tener una rotación de funciones que contribuye a eliminar a los
individuos denominados “indispensables” para la organización y también contribuye a
detectar errores y fraudes.
Esta rotación permite que el individuo no se enajene con un trabajo y que, a su vez, se
capacite y entrene en tareas diferentes que le permitirán evolucionar dentro del ámbito de
la organización.
10 – ELEMENTOS MATERIALES:
A aquellos individuos que tienen funciones de custodia de bienes de la organización debe
proveérselos de los elementos de seguridad necesarios para que en el momento en que el
individuo está fuera de la empresa, los valores bajo su custodia estén suficientemente
protegidos.
11 - COSTO:
El costo material de instalar y mantener un control debe ser menor al valor de lo que
realmente se quiere controlar .
12 – INSTRUCCIONES POR ESCRITO:
Toda instrucción que se dé al personal de una organización debe ser entregada por escrito,
ya fuere la descripción de tareas, un manual de procedimientos, etc., y debe el receptor
firmar que recibió dicha norma.
13 – PRENUMERACION DE COMPROBANTES Y FORMULARIOS:
La numeración correlativa permite el procesamiento de todos los formularios siguiendo su
secuencia, facilitando la detección de la falta de un ejemplar.
34
AUDITORÍA Y CONTROL INTERNO
35
AUDITORÍA Y CONTROL INTERNO
Se debe acceder a los sistemas mediante el uso de clave o código de usuario, que
solamente debe conocer la persona encargada de la función, y la cual debe ser cambiada
periódicamente.
24 – ORGANIZACIÓN INFORMAL:
No debe haber una organización informal. En la empresa no debe haber ningún
procedimiento administrativo u operativo ajeno al sistema formal. Es decir que, no deben
existir planillas o anotaciones de hechos o sucesos que son únicamente utilizados por las
personas que administran una tarea o información.
25 – PREDOMINIO DE LO IMPORTANTE SOBRE LO URGENTE:
Lo urgente no debe tener prioridad sobre lo importante. La urgencia es enemiga del control
y tiende a suprimir fases de una operación.
26 – METODOS CONTRA EL FRAUDE Y CORRUPCION:
Debe surgir de la ordenación del control interno la idea de que hay una suficiente seguridad
de que las personas de la empresa actúan de acuerdo a normas éticas y morales
socialmente admitidas.
Los papeles de trabajo constituyen la real evidencia documental del trabajo realizado.
Son todos aquellos objetos donde constan las tareas realizadas, los elementos de juicio
obtenidos y las conclusiones a las que arribó el auditor. Constituyen por tanto la base para la
emisión del informe y luego su respaldo.
Los Papeles de Trabajo son el conjunto de documentos elaborados por el auditor en los que
consta la información estrictamente necesaria para respaldar sus opiniones, conclusiones y
recomendaciones, archivar cuestiones significativas para futuras auditorías y realizar las
revisiones de calidad propias de cada sistema.
36
AUDITORÍA Y CONTROL INTERNO
Se resalta que los Papeles de Trabajo son la evidencia documental de la labor del auditor y se
habla de “elementos” ya que pueden confeccionarse en soporte que no sea papel. Los Papeles
de Trabajo se pueden elaborar en forma manual, formato electrónico, digital u otros medios
similares.
Los objetivos mas importantes que deben cubrir los PPT o documentación del encargo son:
La formación de una opinión, para la preparación del informe, por parte del auditor se basa
en el análisis de los PPT en cuanto a las pruebas realizadas, las evidencias recogidas o que se
pudieron obtener y en el resultado de las mismas.
De esta manera se puede evaluar la planificación adoptada para la realización del trabajo de
auditoria tanto en lo concerniente a la recolección de los distintos tipos de evidencias con el
tiempo empleado en cada una de las etapas del trabajo.
El auditor no trabaja solo, por lo tanto, requiere de un equipo de trabajo que responda a él,
dentro de los PPT se incluye la planificación del trabajo, por ello es de tanta utilidad dejar la
evidencia de la planificación del trabajo como todos los cambios que se fueron efectuando. El
proceso de auditoria no es un proceso estático, sino que va sufriendo modificaciones en la
medida que las evidencias que son recogidas no avalen la opinión de la que se debe formar el
auditor.
En la medida que se trate de una auditoria recurrente o que se tratare de entes de similar
actividad y administración de la información, los papeles de trabajo pueden (no
necesariamente deben) servir de guía y consulta para auditorias futuras, como también para la
elaboración de la planificación tanto del trabajo como de las horas a presupuestar.
También sirven en la elaboración del acta acuerdo entre el auditado y el auditor, en la cual se
estipulan las limitaciones de responsabilidades, el objeto como también el alcance y los
procedimientos a aplicar en la labor de auditoria
37
AUDITORÍA Y CONTROL INTERNO
4. Proporcionar información adicional, y útil para otras funciones como, por ejemplo: el
análisis de sistemas, organización, métodos y procedimientos, etc.
38
AUDITORÍA Y CONTROL INTERNO
3. Consulta de datos.
4. Elementos de pruebas
6. Referencias futuras
1. Precisión: el trabajo del auditor se basa en hechos reales, y ellos son el sustento de
futuras opiniones y conclusiones; por lo tanto, deben ser descriptos con precisión.
2. Minuciosidad: Los papeles deben dar al lector, la seguridad de que en ellos está, en
forma completa, toda la información necesaria.
Atento a que los papeles de trabajo son el vínculo entre el trabajo de campo y el informe del
auditor, los mismos deben reunir determinados requisitos:
1. Deben estar preparados de forma que permitan una fácil lectura y rápido
entendimiento conceptual y la redacción debe ser clara y objetiva. Deben ser
completos, exactos y contener información suficiente de modo que para su
comprensión no se requiera de otras explicaciones complementarias.
39
AUDITORÍA Y CONTROL INTERNO
6. El encabezamiento debe ser preciso, conteniendo: nombre del ente, título y/o
propósito de la planilla, descripción concisa del trabajo realizado y sus resultados, la
fecha de la auditoría y la firma de la persona que realiza el trabajo de auditoría. Debe
contener además la fuente de información (registro desde el cual fue preparada la
planilla, nombre y cargo del empleado que proporciona la información) y la fecha de
recepción.
7. Debe indicarse cuáles son los datos, o la información o listados preparados por el
sector auditado y debe ser revisado o controlado para admitirlo como evidencia
válida.
¿qué es lo debe hacerse?, ¿cómo debe hacerse?, cuánto hay que hacer? y ¿qué se dejara
de hacer?
4. Formar el legajo que reúna los antecedentes de los temas cuestionados, el que se
discutirá en secciones o reuniones con los sectores auditados.
MARCAS Y TILDES
40
AUDITORÍA Y CONTROL INTERNO
Las tildes o marcas de auditoría son aquellos símbolos convencionales que el auditor adopta y
utiliza para identificar, clasificar y dejar constancia de las pruebas y técnicas que se aplicaron
en el desarrollo de una auditoria.
Los papeles de trabajo son susceptibles de normalización a través del empleo de técnicas
apropiadas como marcas, tildes, referencias, notas, índices, etc.
Los tildes y marcas que figuran en los papeles de trabajo deben ser debidamente aclarados,
excepto aquellos que se usan en forma uniforme.
Sirven para indicar verificaciones, controles, comentarios, etc. y pueden usarse signos
convencionales, números circulares etc.
Permiten con una rápida visualización determinar el grado de análisis efectuado y constituyen
un medio de control de la labor de los ayudantes.
Ejemplo:
T control de cálculos
Los papeles de trabajo deben ser perfectamente comprendidos por cualquier persona ajena a
41
AUDITORÍA Y CONTROL INTERNO
Cuando se efectúa el control de los papeles de trabajo se evalúa la gestión del auditor que las
realizó. En la revisión de los mismos se deben tener en cuenta los siguientes aspectos:
Por constituir una constancia de las distintas tareas realizadas y de las conclusiones a las que
arribó, en tanto elemento tangible de un trabajo intelectual (y profesional) desarrollado por el
contador y/u otro profesional, no caben dudas que los papeles de trabajo o documentación
del encargo son de propiedad del auditor, quien debe adoptar las medidas para custodiarlos
debidamente. No deben ser exhibidas o entregadas al cliente ni a ningún tercero excepto
fundadas razones como, por ejemplo, la defensa en juicio del auditor o de otro tercero que
permita probar la inocencia del imputado, o a requerimiento de un organismo de control
habilitado legalmente para su pedido. (Informe Nº 24 CENCYA)
Los papeles de trabajo que surjan como resultado de la tarea efectuada por el auditor con
dependencia de un ente, son de propiedad del ente auditado, el que deberá garantizar su
integridad, conservación y custodia por el tiempo que determine la reglamentación.
Como principio general su exhibición es limitada, están amparados por el secreto profesional
que establece el Código de Ética, pero en virtud de las funciones que cumplen o los intereses
relacionados con la revisión, pueden ser exhibidos a solicitud de:
• Nuevos auditores: se acostumbra hacerle firmar al nuevo auditor una nota diciendo
que se abstiene de revelar a terceros todo lo allí informado.
42
AUDITORÍA Y CONTROL INTERNO
Los papeles de trabajo y su documentación respaldatoria deben conservarse por el plazo que
resulte mayor entre los establecidos por las normas profesionales y legales y los resultantes de
considerar las prescripciones de las responsabilidades (profesional, civil y penal) del auditor
por su eventual mala praxis.
En lo que concierne a la conservación de los papeles de trabajo, la Resolución Técnica Nº 53
de la FACPCE establece que el auditor deberá conservar, en un soporte adecuado a las
circunstancias y por el plazo que fijen las normas legales o por diez (10) años, el que fuera
mayor, la documentación de su trabajo (Apartado B. Normas para el Desarrollo del Encargo
punto 4.3)
CONSERVACIÓN – FORMA
CODIFICACIÓN
43
AUDITORÍA Y CONTROL INTERNO
Las tareas de auditoría siempre están referidas a un programa de revisión y éste siempre tiene
un número de código.
Los papeles de trabajo se codifican usando en primer grado las letras del alfabeto y en grados
sucesivos el sistema numérico.
El código tiene la representación de un número quebrado, donde el numerador está formado
por el “número del programa” y el “número de procedimiento separados por un guión y el
denominador por el “número total de páginas (del grupo o total) y el “número de hoja” dentro
del procedimiento.
número total de páginas del grupo o total - número de hoja dentro del procedimiento
Por ejemplo:
A: Tesorería
1. Arqueos
1.1. Caja
1.1.1. Caja 1
A - 1.1.1
2-1
1.1.2. Caja 2
A - 1.1.2
2-2
Programa: A: Tesorería
Procedimientos: 1. Arqueo
OTRAS FORMAS
1.1. Caja 1.1.1 Caja en moneda nacional DE CODIFICACIÓN
1.1.2 Caja en moneda extrajera
a. Numérico
2. Conciliaciones correlativo:
se otorga
3.Confirmaciones una
numeración
correlativa a
¿Cómo codifico? los papeles
de trabajo.
Ejemplo:
A - 1.1.1 Caja en moneda nacional
1,2,3,….,n
13 - 2 b. Numérico
por bloques:
se otorga un
A - 1.1.2 Caja en moneda extrajera bloque de
13 - 3
44
AUDITORÍA Y CONTROL INTERNO
números a la parte general de un legajo y luego un bloque para cada rubro en la parte
específica. Ejemplo:
Parte general :01 al 20
Parte específica: 21 al 200
Caja y Bancos: 21 al 30
Inversiones corrientes: 31 al 40
Créditos: 41 al 50
c. Numérico decimal: se utiliza un sistema similar al plan de cuentas.
d. Alfanuméricos: Resulta de la combinación de letras como identificatorias de rubros o
capítulos y de números para las hojas de detalle. Con este sistema es común que la
parte general, se codifique con números correlativos, romanos o arábigos.
CLASIFICACIÓN Y ORDENAMIENTO
Los Papeles de Trabajo que respaldan el examen de auditoría deben ser archivados sobre una
base razonablemente sistemática y se agruparán en carpetas o “legajos”.
Un legajo es el conjunto de información obtenida y generada en el marco de las actividades de
control y supervisión, que constituye una herramienta fundamental para el resguardo y
gestión de la misma.
Existen dos tipos de legajos, los cuales se distinguen entre sí por el tipo de documentación que
en ellos se archiva, a saber:
1. Legajo corriente o del período (LC)
2. Legajo permanente (LP)
Son los papeles específicos de los trabajos efectuados en relación con el objeto de la auditoría.
Dentro de este tipo de legajo se encuentran otros que se pueden resumir del siguiente modo:
a) Principal, conteniendo la información de tipo general, los resúmenes de los puntos
importantes, carta de abogados, etc.
b) Visita preliminar
c) Arqueos, circularizaciones, recuentos físicos
d) Relevamiento de bases de datos
e) Evaluación del control interno
f) Programas de trabajo y su desarrollo
2. Legajos permanentes
Los legajos de tipo permanente deben clasificarse según el tipo de información que
contienen:
• Estructura legal
• Estatutos
• Copias de actas y asambleas
• Organigramas
• Manuales
• Procedimientos, instrucciones y normas
• Localización de plantas, oficinas, depósitos, sucursales y agencias
• Informes y correspondencias
45
AUDITORÍA Y CONTROL INTERNO
46
AUDITORÍA Y CONTROL INTERNO
Por las características especiales de cada una, las marcas de auditoría pueden ser de dos tipos:
47
AUDITORÍA Y CONTROL INTERNO
Estas tildes o marcas son meramente indicativos, quedando a criterio del responsable de la
ejecución de la auditoría agregar los que estime necesarios en función del trabajo planificado.
Se aconseja que al final de cada papel de trabajo haya una hoja donde se describan todas las
tildes empleadas. Aunque también se podrían indicar al pie de cada hoja del papel.
Utilización de colores
Se recomienda que las tildes sean agregados mediante la utilización de lápiz o lapicera roja, de
modo que resalte a simple vista y se identifique fácilmente el tilde empleado. De igual modo se
aconseja escribir en ese mismo color las notas aclaratorias de datos que no sean claros, o de
explicaciones a variaciones significativas. Una manera de hacerlo sería indicando con números
al costado de cada dato susceptible de aclaración, y cuya referencia se encuentre al pie de la
hoja.
- Para tildes: la utilización de letras en color rojo, y las referencias en una hoja al final
del papel donde se describan todas las tildes utilizadas.
- Para notas aclaratorias: la utilización de números en color rojo, y las referencias al pie
de la hoja donde se encuentren. Si son muchas las notas, se podría agregar una hoja
que contenga solamente la descripción de todas las notas agregadas, identificándolas
por su número respectivo.
Encabezado
48
AUDITORÍA Y CONTROL INTERNO
A - 1.1.1
2-1
DIRECCIÓN GENERAL DE AUDITORÍA
A - 1.1.2
2-2
Cuerpo
49
AUDITORÍA Y CONTROL INTERNO
Pie
50
AUDITORÍA Y CONTROL INTERNO
SISTEMAS
Evaluar en cada uno de los Sistemas Administrativos y Operativos del Ente el adecuado
Etapas:
1°- Análisis de instrumentos organizacionales existentes (manuales, instrucciones,
organigramas, cursogramas, etc.) PLANIFICACIÓN
2°- Indagación a funcionarios, empleados del sector y, de resultar necesario, a terceros.
PLANIFICACIÓN
3°-Comprobación mediante pruebas con operaciones reales (“caminar sobre los
procedimientos”). EJECUCIÓN
4°- Informe y seguimiento de observaciones y recomendaciones de la auditoría interna.
INFORME Y SEGUIMIENTO.
51
AUDITORÍA Y CONTROL INTERNO
Métodos de relevamiento:
Descriptivo
Cuestionario
Cursograma
Combinado
MÉTODO DESCRIPTIVO
Se describe en forma pormenorizada las características del Sistema bajo auditoría. Para ello se
diferentes personas que trabajan y/o se relacionan con el Sistema (entrevistas, encuestas,
semántica del relato, adecuada interpretación de los hechos y poder de síntesis. Debe
Ej. Cuestionario
Caja y Bancos-Tesorería
¿Están definidas las líneas de autoridad y responsabilidad?
¿Existen manuales de funciones y procedimientos?
¿El personal del sector se encuentra obligado a tomar vacaciones anuales?
¿Se encuentran previstas las subrogancias en los casos de ausencias?
¿Las cuentas bancarias son autorizadas por el Directorio y qué propósitos tienen?
¿Los titulares de las cuentas bancarias son designados por el Directorio?
¿Se lleva un registro actualizado de esos titulares?
¿Todas las cuentas bancarias habilitadas se encuentran registradas contablemente?
¿Se registran contablemente las transferencias entre las cuentas bancarias?
52
AUDITORÍA Y CONTROL INTERNO
53
AUDITORÍA Y CONTROL INTERNO
54
AUDITORÍA Y CONTROL INTERNO
¿Hay problemas de diseño del control interno? ¿faltan actividades de control interno? ¿hay
superposición de actividades de control interno?
¿se mantiene la relación costo beneficio en las actividades de control interno?
Pero aún falta comprobar:
¿si las actividades de control interno previstas funcionan realmente en la práctica? ¿si existen
en la práctica otras actividades de control interno no formalizadas?
El objetivo principal es verificar cómo funciona en la práctica el control interno del Sistema
auditado.
Etapas:
Reunión de Evidencias
F a se II Evaluación de Evidencias
Son las
evidencias NO
suficientes y
apropiadas
SI
55
AUDITORÍA Y CONTROL INTERNO
ARQUEO DE FONDOS
Por lo tanto, a los fines de verificar que la información que surge de la contabilidad coincide
con la realidad, se aplican ciertos procedimientos que en Caja y Bancos son los siguientes:
Caja arqueo de fondos
Bancos conciliación bancaria
¿Cuál es su finalidad?
56
AUDITORÍA Y CONTROL INTERNO
Es una técnica de control que permite comprobar que el saldo del mayor de la cuenta Caja,
coincide con la real tenencia de la empresa.
Saldo del mayor de la cta. Caja real tenencia de la empresa
57
AUDITORÍA Y CONTROL INTERNO
1) El responsable de la Caja debe estar presente durante el arqueo, a los efectos de evitar
malas interpretaciones o suspicacias.
2) Se debe tener en cuenta el factor sorpresa
3) Se debe evitar entorpecer el normal funcionamiento del Ente.
58
AUDITORÍA Y CONTROL INTERNO
4) Debe comprender la totalidad de los fondos existente en una Caja determinada, para evitar
que puedan existir compensaciones entre Fondos Fijos, fondos de cambio, cobranzas, etc.
pertenecientes a la misma sección, o que la persona pueda reponer lo que tomo sin
autorización para su propio provecho.
5) Debe obtenerse una confirmación escrita del responsable “que los fondos son todos los
existentes en su poder y que estuvo presente durante el arqueo”
6) Si el Cajero es responsable de otros valores también se deben incluir en el arqueo.
1) Planificación
2) Ejecución
3) Etapa de limpieza o seguimiento del arqueo
1) Planificación: Fecha, día y hora en que se realizará el arqueo, tener en cuenta el factor
sorpresa. Evitar entorpecer la actividades normales del cliente
2) Ejecución:
• Realiza el recuento de fondos y valores.
• ¿Quién hace el recuento y cómo lo hace?
El Cajero lo hace y utiliza formularios preimpresos elaborados por el auditor (los formularios
pueden ser llenados por el auditor)
• El auditor verifica cumplimiento de normas de control interno
• El auditor proponer ajustes a realizar
3) Etapa de limpieza o seguimiento del arqueo: Verifica la realización de los asientos
propuestos
CONCILIACIÓN BANCARIA
¿Qué es conciliar?
Concordar, cotejar, ajustar, concertar, armonizar, componer
¿Qué se concilian?
Los saldos de los extractos bancarios emitidos por el Banco
Con los saldos contables del titular de la cuenta corriente (Libro Bancos)
59
AUDITORÍA Y CONTROL INTERNO
“Enviar al cuentacorrentista, como máximo 8 días corridos después de finalizado cada mes
y/o el período menor que se establezca y en las condiciones que se convenga, un extracto con
el detalle de cada uno de los movimientos que se efectúen en la cuenta –débitos y créditos–,
cualquiera sea su concepto, identificando los distintos tipos de transacción mediante un código
específico que cada entidad instrumente a tal efecto y los saldos registrados en el período que
comprende, pidiéndole su conformidad por escrito……….”
Por normas de control interno es necesario que los entes cotejen las anotaciones que
aparecen en los extractos bancarios con las registraciones contables de la empresa, a este
cotejo se lo denomina “Conciliación Bancaria”.
Por lo general los saldos no coinciden, haciéndose necesario explicar esas diferencias. Esas
diferencias se pueden clasificar en:
• Diferencias que derivan del factor tiempo: Se denominan “Partidas de conciliaciones
temporarias”
• Diferencias que no provienen o derivan del factor tiempo: Se denominan “Partidas de
conciliaciones permanentes”
60
AUDITORÍA Y CONTROL INTERNO
Recomendaciones:
• Al revisar las conciliaciones efectuadas por la empresa, es importante realizar un
análisis y seguimiento de cada partida conciliatoria (tanto temporarias como
permanentes) que se encuentre, a los efectos de observar su resolución posterior.
• La conciliación bancaria debe ser realizada por una persona ajena al manejo de fondos,
y controlada por una persona distinta al que la confeccionó.
• El auditor no es responsable de su confección, sino que la utiliza para analizar la
razonabilidad de las partidas pendientes de conciliación y le permite validar la
integridad de las registraciones posteriores.
61
AUDITORÍA Y CONTROL INTERNO
por su naturaleza
por su objeto:
involuntarios
intencionales
cálculos
omisiones
técnica contable
valuación
duplicidad
autenticidad
equivalencia/semejanza
fiscales
62
AUDITORÍA Y CONTROL INTERNO
Errores involuntarios: donde el autor del error se equivoca sin querer hacerlo.
Errores Intencionales: donde el autor se equivoca a propósito para realizar alguna
maniobra fraudulenta.
Errores involuntarios
Incompetencia: Cuando el individuo que ejecuta las funciones no está lo
suficientemente preparado para ejercerla. Es decir, no es una persona idónea para ese
cargo y, por lo tanto, comete errores.
Descuido: cuando la persona no toma todas las precauciones y comete el error por no
atender en forma correcta su trabajo.
Trabajo en exceso: Cuando la persona no puede procesar todo el trabajo que tiene
63
AUDITORÍA Y CONTROL INTERNO
TIPOS DE ERRORES
El sistema de información de una empresa está sujeta a errores de diversos tipos. Los errores
más comunes que se presentan en la vida diaria de la organización son los siguientes:
Errores que surgen por sí mismos: Son los errores que se detectan solos. La misma
práctica administrativo-contable permite que sean detectados de inmediato. Por
ejemplo:
• Cuando el total del debe no coincide con el total de haber, en libros, asientos diarios, en el
balance de saldos.
• Cuando las cuentas de control y los mayores auxiliares, no coinciden con el mayor general.
• Cuando la sumatoria o total de las cuentas analíticas (clientes, materias primas, proveedores,
etc.) no coinciden con el total de la cuenta del mayor.
Errores que surgen por sí mismo: Los errores que no surgen por sí mismos son difíciles
de detectar, ya que no salen a la luz si no es por un trabajo profundo de control.
Por ejemplo:
Errores de imputación de cuentas.
64
AUDITORÍA Y CONTROL INTERNO
POSIBILIDADES DE ERROR
Los aspectos donde podemos buscar errores o donde existe posibilidad de error podrían ser
los siguientes:
- Análisis indebido de operaciones: Son los casos donde el error consiste en debitar o
acreditar cuentas en forma incorrecta o, por ejemplo, cuando se activa un gasto.
- Omisión de operaciones: Es el caso cuando no se incorporaron operaciones que
debían incluirse, por ejemplo: gastos ilícitos o cobranzas interceptadas.
- Inclusión de operaciones: Caso inverso al anterior, donde se incorporaron operaciones
que no pertenecen al período o la empresa (operaciones personales de los dueños o
los socios).
- Técnica administrativa contable: Estos errores provienen de la acumulación,
transferencia, compensación y combinación de cifras. Se producen cuando hay errores
de cálculo (amortizaciones, deudores incobrables, cálculos de intereses, etc.), errores
de recopilación de datos o información básica, errores de imputación y de
mayorización.
65
AUDITORÍA Y CONTROL INTERNO
La organización trabaja con individuos y éstos pueden tener la debilidad suficiente como para
cometer perjuicios a la Empresa, cuando deciden robar o sustraer bienes de ésta.
Por lo tanto, la función del Auditor es tratar de prevenir los errores y no, tratar de
encontrarlos. Por lo tanto, se hace necesario contar con un sistema de control interno que
minimice el riesgo de cometer errores en perjuicio de la empresa.
FRAUDE Y CORRUPCIÓN
El Escenario Internacional
Antecedentes
• OEA (1996) – Convención Interamericana contra la Corrupción (aprobada por Ley Nº 24.759)
• ONU (2003) – Convención de las Naciones Unidas contra la Corrupción (aprobada por Ley Nº
26.097)
Prevención:
Códigos de ética
Control de conflictos de intereses
Manejo adecuado de recursos
Sistemas de declaraciones juradas
Transparencia en compras
Transparencia en contrataciones de funcionarios
Protección de denunciantes
Participación de la sociedad civil
Investigación y sanción
Tipificación de delitos:
Soborno
Malversación y peculado
Abuso de funciones
Negociaciones incompatibles
Tráfico de influencias
Soborno trasnacional
Enriquecimiento ilícito
Cooperación internacional
66
AUDITORÍA Y CONTROL INTERNO
Nuevos paradigmas
•Prevención
•Investigación y sanción
•Cooperación internacional
•Recuperación de activos
•Seguimiento de la Convención
Cuestiones preventivas
• Políticas de prevención
• Códigos de conducta
• Compras
• Presupuesto
• Acceso a la información
• Sector privado
• Conflictos de intereses
• Lavado de Activos
FRAUDE Y CORRUPCION
En la actualidad los ejecutivos consideran que el fraude y la corrupción son problemas
importantes para sus compañías y que los factores que llevan al ilícito son:
El auditor interno tiene un rol decisivo para identificar e investigar fraudes, sobornos y otros
ilícitos de la corrupción. Sin embargo, el sistema de control interno debería también hacerlo en
su dinámica de funcionamiento.
CORRUPCIÓN:
67
AUDITORÍA Y CONTROL INTERNO
Es el producto de conductas humanas ilícitas o aún lícitas desde el punto de vista legal, pero
que en uno u otro supuesto “transgreden principios éticos y morales”.
FRAUDE:
Se materializa en actos dolosos, amparados en forma de engaño, resultantes en perjuicios para
los intereses de quienes han confiado su administración a los defraudadores, quienes
buscando un beneficio propio o para terceros interesados, violan sus deberes, obligaciones
responsabilidades.
Las personas que tienen funciones de apoyo o asistencia solo pueden actuar en la
administración fraudulenta como “cómplices o partícipes necesarios” de ella.
ARTICULO 46.- Los que cooperen de cualquier otro modo a la ejecución del hecho y los que
presten una ayuda posterior cumpliendo promesas anteriores al mismo, serán reprimidos con
la pena correspondiente al delito, disminuida de un tercio a la mitad. Si la pena fuere de
reclusión perpetua, se aplicará reclusión de quince a veinte años y si fuere de prisión
perpetua, se aplicará prisión de diez a quince años.
La administración fraudulenta difiere de la estafa, que en principio tiene como sujetos pasivos
(perjudicados) a terceros ajenos a la empresa.
Artículo 173 inciso 7) establece que: “Sin perjuicio de la disposición general del artículo
precedente, se considerarán casos especiales de defraudación y sufrirán la pena que el
establece: … inciso7) el que, por disposición de la ley, de la autoridad o por un acto jurídico,
tuviera a su cargo el manejo, la administración o el cuidado de bienes o intereses pecuniarios
ajenos, y con el fin de procurar para sí o para un tercero un lucro indebido o para causar daño,
violando sus deberes perjudicare los intereses confiados u obligare abusivamente al titular de
estos”.
68
AUDITORÍA Y CONTROL INTERNO
1º. El que para procurarse a sí mismo o procurar a otro un provecho ilegal en perjuicio de un
asegurador o de un dador de préstamo a la gruesa, incendiare o destruyere una cosa
asegurada o una nave asegurada o cuya carga o flete estén asegurados o sobre la cual se haya
efectuado un préstamo a la gruesa;
ARTICULO 175. - Será reprimido con multa de Será reprimido con multa de mil pesos a quince
mil pesos:
1º. El que encontrare perdida una cosa que no le pertenezca o un tesoro y se apropiare la cosa
o la parte del tesoro correspondiente al propietario del suelo, sin observar las prescripciones
del Código Civil;
2º. El que se apropiare una cosa ajena, en cuya tenencia hubiere entrado a consecuencia de un
error o de un caso fortuito;
3º. El que vendiere la prenda sobre que prestó dinero o se la apropiare o dispusiere de ella, sin
las formalidades legales;
4º. El acreedor que a sabiendas exija o acepte de su deudor, a título de documento, crédito o
garantía por una obligación no vencida, un cheque o giro de fecha posterior o en blanco.-
El Fraude puede estar orientado a causar un beneficio indebido en favor de la empresa, como
por ejemplo:
-Cobranzas impropias.
69
AUDITORÍA Y CONTROL INTERNO
70
AUDITORÍA Y CONTROL INTERNO
Fraude y corrupción
Se combate con:
-Transparencia
-Control
-Sanción
2. Las medidas que se adopten para alcanzar esos fines podrán consistir entre otras cosas, en:
a) Promover la cooperación entre los organismos encargados de hacer cumplir la ley y las
entidades privadas pertinentes;
71
AUDITORÍA Y CONTROL INTERNO
d) Prevenir la utilización indebida de los procedimientos que regulan a las entidades privadas,
incluidos los procedimientos relativos a la concesión de subsidios y licencias por las
autoridades públicas para actividades comerciales;
f) Velar por que las empresas privadas, teniendo en cuenta su estructura y tamaño, dispongan
de suficientes controles contables internos para ayudar a prevenir y detectar los actos de
corrupción y por qué las cuentas y los estados financieros requeridos de esas empresas
privadas estén sujetos a procedimientos apropiados de auditoría y certificación.
3. A fin de prevenir la corrupción, cada Estado Parte adoptará las medidas que sean necesarias,
de conformidad con sus leyes y reglamentos internos relativos al mantenimiento de libros y
registros, la divulgación de estados financieros y las normas de contabilidad y auditoría, para
prohibir los siguientes actos realizados con el fin de cometer cualesquiera de los delitos
tipificados con arreglo a la presente Convención:
4. Cada Estado Parte denegará la deducción tributaria respecto de gastos lo que constituyan
soborno, que es uno de los elementos constitutivos de los delitos tipificados con arreglo a los
artí- culos 15 y 16 de la presente Convención y, cuando proceda, respecto de otros gastos que
hayan tenido por objeto promover un comportamiento corrupto
Cuestionario Guía
1. Caracterice y ejemplifique incorrecciones por error o fraude que pueden ocurrir en el
funcionamiento del ente.
2. Describa las principales causales (omisión, extralimitación, conducta deliberada y
conducta inexcusable) que dan origen a responsabilidad en el auditor interno.
3. ¿A quién se denomina penalmente participe necesario o cómplice? ¿podría serlo el
auditor interno?
4. Analice en el artículo 173 inciso 7 del Código Penal Argentino el caso especial de
defraudación que podría alcanzar al auditor interno en caso de conducta dolosa.
5. Reflexione sobre la siguiente frase “La auditoría interna es sumamente importante
para detectar errores y hechos de fraude en la empresa”.
6. Cómo se relaciona el componente Evaluación de Riesgos del sistema de Control
Interno con errores y fraudes dentro de una organización.
72
AUDITORÍA Y CONTROL INTERNO
Características:
El auditor interno debe considerar estas cuestiones para poder llevar a cabo una auditoria de
sistemas
COBIT que en inglés significa “Control Objectives for Information and related Technology”, se
traduce al español como “Objetivos de Control para la Información y Tecnología Relacionada”.
Se utiliza para implementar el gobierno sobre la tecnología y mejorar sus controles. Contiene
73
AUDITORÍA Y CONTROL INTERNO
COBIT es un modelo para auditar la gestión y control de los sistemas de información y sus
tecnologías, orientado a todos los sectores de una organización, es decir, administradores,
usuarios y por supuesto, los auditores involucrados en el proceso. Según su versión 4.1 se
divide en los siguientes dominios -1)Planear y Organizar, 2)Adquirir e Implementar, 3)Entregar
y Dar soporte y 4) Monitorear y Evaluar- que especifican 34 procesos que hacen referencia a
los diferentes puntos de control a considerar.
COSO
11.1 Las autoridades deben definir el nivel de soporte tecnológico que se brindará a la
gestión de las actividades, asegurando el alineamiento de la estrategia tecnológica a los
objetivos organizacionales
74
AUDITORÍA Y CONTROL INTERNO
COBIT
Dominios y procesos:
PLANEAR Y ORGANIZAR
75
AUDITORÍA Y CONTROL INTERNO
concisos, planes de acción y tareas que están comprendidas y aceptadas tanto por el negocio
como por TI.
P04. Definir los Procesos, Organización y Relaciones de TI. Una organización de TI se debe
definir tomando en cuenta los requerimientos de personal, funciones, rendición de cuentas,
autoridad, roles, responsabilidades y supervisión. La organización está embebida en un marco
de trabajo de procesos de TI que asegure la transparencia y el control, así como el
involucramiento de los altos ejecutivos y de la gerencia del negocio. Un comité estratégico
debe garantizar la vigilancia del consejo directivo sobre TI, y uno ó más comités de dirección,
en los cuales participen tanto el negocio como TI, deben determinar las prioridades de los
recursos de TI alineados con las necesidades del negocio. Deben existir procesos, políticas de
administración y procedimientos para todas las funciones, con atención específica en el
control, el aseguramiento de la calidad, la administración de riesgos, la seguridad de la
información, la propiedad de datos y de sistemas y la segregación de funciones. Para garantizar
el soporte oportuno de los requerimientos del negocio, TI se debe involucrar en los procesos
importantes de decisión.
76
AUDITORÍA Y CONTROL INTERNO
presupuesto. Los interesados (stakeholders) son consultados para identificar y controlar los
costos y beneficios totales dentro del contexto de los planes estratégicos y tácticos de TI, y
tomar medidas correctivas según sean necesarias. El proceso fomenta la asociación entre TI y
los interesados del negocio, facilita el uso efectivo y eficiente de recursos de TI, y brinda
transparencia y responsabilidad dentro del costo total de la propiedad, la materialización de
los beneficios del negocio y el retorno sobre las inversiones en TI.
P07. Administrar los Recursos Humanos de TI. Adquirir, mantener y motivar una fuerza de
trabajo para la creación y entrega de servicios de TI para el negocio. Esto se logra siguiendo
prácticas definidas y aprobadas que apoyan el reclutamiento, entrenamiento, la evaluación del
desempeño, la promoción y la terminación. Este proceso es crítico, ya que las personas son
activos importantes, y el ambiente de gobierno y de control interno depende fuertemente de
la motivación y competencia del personal.
P09. Evaluar y Administrar los Riesgos de TI. Crear y dar mantenimiento a un marco de trabajo
de administración de riesgos. El marco de trabajo documenta un nivel común y acordado de
riesgos de TI, estrategias de mitigación y riesgos residuales. Cualquier impacto potencial sobre
las metas de la organización, causado por algún evento no planeado se debe identificar,
analizar y evaluar. Se deben adoptar estrategias de mitigación de riesgos para minimizar los
riesgos residuales a un nivel aceptable. El resultado de la evaluación debe ser entendible para
los Interesados (Stakeholders) y se debe expresar en términos financieros, para permitirles
alinear los riesgos a un nivel aceptable de tolerancia.
77
AUDITORÍA Y CONTROL INTERNO
ADQUIRIR E IMPLEMENTAR
AI2 Adquirir y Mantener Software Aplicativo Las aplicaciones deben estar disponibles de
acuerdo con los requerimientos del negocio. Este proceso cubre el diseño de las aplicaciones,
la
inclusión apropiada de controles aplicativos y requerimientos de seguridad, y el desarrollo y la
configuración en sí de acuerdo a los estándares. Esto permite a las organizaciones apoyar la
operatividad del negocio de forma apropiada con las aplicaciones automatizadas correctas
AI3 Adquirir y Mantener Infraestructura Tecnológica Las organizaciones deben contar con
procesos para adquirir, Implementar y actualizar la infraestructura tecnológica. Esto requiere
78
AUDITORÍA Y CONTROL INTERNO
de
un enfoque planeado para adquirir, mantener y proteger la infraestructura de acuerdo con las
estrategias tecnológicas convenidas y la disposición del ambiente de desarrollo y pruebas. Esto
garantiza que exista un soporte tecnológico continuo para las aplicaciones del negocio.
AI4 Facilitar la Operación y el Uso El conocimiento sobre los nuevos sistemas debe estar
disponible. Este proceso requiere la generación de documentación y manuales para usuarios y
para TI, y proporciona entrenamiento para garantizar el uso y la operación correctos de las
aplicaciones y la infraestructura.
AI5 Adquirir Recursos de TI Se deben suministrar recursos TI, incluyendo personas, hardware,
software y servicios. Esto requiere de la definición y ejecución de los procedimientos de
adquisición, la selección de proveedores, el ajuste de arreglos contractuales y la adquisición en
sí. El hacerlo así garantiza que la organización tenga todos los recursos de TI que se requieren
de una manera oportuna y rentable.
AI7 Instalar y Acreditar Soluciones y Cambios Los nuevos sistemas necesitan estar funcionales
una vez que su desarrollo se completa. Esto requiere pruebas adecuadas en un ambiente
dedicado con datos de prueba relevantes, definir la transición e instrucciones de migración,
planear la liberación y la transición en sí al ambiente de producción, y revisar la
postimplantación. Esto garantiza que los sistemas operativos estén en línea con las
expectativas
convenidas y con los resultados
79
AUDITORÍA Y CONTROL INTERNO
DS1 Definir y Administrar los Niveles de Servicio Contar con una definición documentada y un
acuerdo de servicios de TI y de niveles de servicio, hace posible una comunicación efectiva
entre
la gerencia de TI y los clientes de negocio respecto de los servicios requeridos. Este proceso
también incluye el monitoreo y la notificación oportuna a los Interesados (Stakeholders) sobre
el cumplimiento de los niveles de servicio. Este proceso permite la alineación entre los
servicios
de TI y los requerimientos de negocio relacionados.
DS2 Administrar los Servicios de Terceros La necesidad de asegurar que los servicios provistos
por terceros cumplan con los requerimientos del negocio, requiere de un proceso efectivo de
administración de terceros. Este proceso se logra por medio de una clara definición de roles,
responsabilidades y expectativas en los acuerdos con los terceros, así como con la revisión y
monitoreo de la efectividad y cumplimiento de dichos acuerdos. Una efectiva administración
de
los servicios de terceros minimiza los riesgos del negocio asociados con proveedores que no se
desempeñan de forma adecuada.
80
AUDITORÍA Y CONTROL INTERNO
DS6 Identificar y Asignar Costos La necesidad de un sistema justo y equitativo para asignar
costos de TI al negocio, requiere de una medición precisa y un acuerdo con los usuarios del
negocio sobre una asignación justa. Este proceso incluye la construcción y operación de un
sistema para capturar, distribuir y reportar costos de TI a los usuarios de los servicios. Un
sistema
equitativo de costos permite al negocio tomar decisiones más informadas respectos al uso de
los servicios de TI.
DS7 Educar y Entrenar a los Usuarios Para una educación efectiva de todos los usuarios de
sistemas de TI, incluyendo aquellos dentro de TI, se requieren identificar las necesidades de
entrenamiento de cada grupo de usuarios. Además de identificar las necesidades, este proceso
incluye la definición y ejecución de una estrategia para llevar a cabo un entrenamiento
efectivo
y para medir los resultados. Un programa efectivo de entrenamiento incrementa el uso
efectivo
de la tecnología al disminuir los errores, incrementando la productividad y el cumplimiento de
los controles clave tales como las medidas de seguridad de los usuarios.
81
AUDITORÍA Y CONTROL INTERNO
DS12 Administración del Ambiente Físico La protección del equipo de cómputo y del personal,
requiere de instalaciones bien diseñadas y bien administradas. El proceso de administrar el
ambiente físico incluye la definición de los requerimientos físicos del centro de datos (site), la
selección de instalaciones apropiadas y el diseño de procesos efectivos para monitorear
factores
ambientales y administrar el acceso físico. La administración efectiva del ambiente físico
reduce
las interrupciones del negocio ocasionadas por daños al equipo de cómputo y al persona
MONITOREAR Y EVALUAR
82
AUDITORÍA Y CONTROL INTERNO
revisiones por parte de terceros. Un beneficio clave del monitoreo del control interno es
proporcionar seguridad respecto a las operaciones eficientes y efectivas y el cumplimiento de
las leyes y regulaciones aplicables.
ME3 Garantizar el Cumplimiento con Requerimientos Externos Una supervisión efectiva del
cumplimiento requiere del establecimiento de un proceso de revisión para garantizar el
cumplimiento de las leyes, regulaciones y requerimientos contractuales. Este proceso incluye
la
identificación de requerimientos de cumplimiento, optimizando y evaluando la respuesta,
obteniendo aseguramiento que los requerimientos se han cumplido y, finalmente integrando
los reportes de cumplimiento de TI con el resto del negocio.
9.2.1 La organización debe llevar a cabo auditorías internas a intervalos planificados para
proporcionar información acerca de si el sistema de gestión de la calidad:
a) es conforme con:
83
AUDITORÍA Y CONTROL INTERNO
e) realizar las correcciones y tomar las acciones correctivas adecuadas sin demora injustificada;
9.2.1. Generalidades
La empresa tiene que llevar a cabo auditorías internas a intervalos planificados para
proporcionar información sobre si el Sistema de Gestión Ambiental cumple todos los requisitos
del SGA se ha implantado y mantenido de forma eficiente.
84
AUDITORÍA Y CONTROL INTERNO
85